Condividi tramite

Criteri password combinati e verifica della presenza di password deboli in Microsoft Entra ID

  • Articolo

A partire da ottobre 2021, la convalida di Microsoft Entra per la conformità ai criteri password include anche un controllo per le password vulnerabili note e le relative varianti. In questo capitolo vengono illustrati i dettagli sui requisiti dei criteri password controllati da Microsoft Entra ID.

Criteri password di Microsoft Entra

I criteri password vengono applicati a tutti gli account utente e amministratore creati e gestiti direttamente in Microsoft Entra ID. Puoi vietare le password vulnerabili e definire i parametri per bloccare un account dopo tentativi ripetuti di inserimento di password non valide. Non è possibile modificare altre impostazioni dei criteri password.

I criteri password di Microsoft Entra non si applicano agli account utente sincronizzati da un ambiente Active Directory Domain Services locale che usa Microsoft Entra Connect, a meno che non si abiliti EnforceCloudPasswordPolicyForPasswordSyncedUsers. Se enforceCloudPasswordPolicyForPasswordSyncedUsers e il writeback delle password sono abilitati, vengono applicati i criteri di scadenza delle password di Microsoft Entra, ma i criteri password locali hanno la precedenza per lunghezza, complessità e così via.

I seguenti requisiti per i criteri password di Microsoft Entra si applicano a tutte le password create, modificate o reimpostate in Microsoft Entra ID. I requisiti vengono applicati durante il provisioning degli utenti, la modifica della password e i flussi di reimpostazione della password. Se non specificato, non puoi modificare queste impostazioni.

Proprietà Requisiti
Caratteri consentiti Caratteri maiuscoli (A - Z)
Caratteri maiuscoli (a - z)
Numeri (0 - 9)
Simboli:
- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
- spazio vuoto
Caratteri non consentiti Caratteri Unicode
Lunghezza password Password require
- Almeno otto caratteri
- Massimo 256 caratteri
Complessità password Le password richiedono tre delle quattro categorie seguenti:
- Caratteri maiuscoli
- Caratteri minuscoli
- Numeri
- Simboli
Nota: la verifica della complessità delle password non è necessaria per i tenant Education.
Password non usata di recente Quando un utente modifica la password, la nuova password non deve corrispondere alla password corrente.
La password non è vietata da Microsoft Entra Password Protection La password non può essere nell'elenco globale delle password vietate per Microsoft Entra Password Protection o nell'elenco personalizzabile di password vietate specifiche della tua organizzazione.

Criteri di scadenza delle password

I criteri di scadenza delle password sono invariati, ma sono inclusi in questo argomento per completezza. Gli utenti ai quali è assegnato almeno il ruolo di Amministratore utenti possono usare i cmdlet di Microsoft Graph PowerShell per impostare le password utente come senza scadenza.

Nota

Per impostazione predefinita, solo le password per gli account utente non sincronizzati tramite Microsoft Entra Connect possono essere configurate per non scadere. Per altre informazioni sulla sincronizzazione delle directory, vedere Connettere AD con Microsoft Entra ID.

Puoi anche usare PowerShell per rimuovere la configurazione senza scadenza, o per vedere quali password utente sono impostate in modo da non scadere mai.

I requisiti di scadenza seguenti si applicano ad altri provider che usano Microsoft Entra ID per i servizi di identità e directory, ad esempio Microsoft Intune e Microsoft 365.

Proprietà Requisiti
Durata scadenza password (validità massima password) Valore predefinito: 90 giorni.
Il valore è configurabile usando il cmdlet Update-MgDomain del modulo Microsoft Graph PowerShell.
Scadenza password (Validità illimitata password) Valore predefinito: falso (indica che la password ha una data di scadenza).
Il valore può essere configurato per singoli account utente con il cmdlet Update-MgUser.

Passaggi successivi